Κινέζοι χάκερς ανέπτυσσαν επί 3 χρόνια backdoor για να κατασκοπεύσουν κυβερνήσεις

Ένα νέο backdoor που χρησιμοποιείται σε τρέχουσες



εκστρατείες

κυβερνοκατασκοπείας, έχει συνδεθεί με Κινέζους

χάκερς

. Σύμφωνα με την

Check Point Research (CPR)

, το backdoor έχει σχεδιαστεί, αναπτυχθεί, δοκιμαστεί κι εξελιχθεί

τα τελευταία τρία χρόνια

, προκειμένου να παραβιάσει τα

συστήματα

του Υπουργείου Εξωτερικών της κυβέρνησης της Νοτιοανατολικής Ασίας.

Η αλυσίδα μόλυνσης του Windows-based malware ξεκίνησε με



phishing emails

, τα οποία πλαστογραφούσαν άλλα υπουργεία της ίδιας κυβέρνησης, όπου τα μέλη του προσωπικού στοχεύτηκαν με «οπλισμένα», official-looking

έγγραφα

που στάλθηκαν μέσω email. Εάν τα

θύματα

ανοίξουν τα

αρχεία

, «τραβούν»

remote .RTF templates

, ενώ παράλληλα αναπτύσσεται μια έκδοση του

Royal Road

, ενός RTF weaponizer. Το



εργαλείο

λειτουργεί εκμεταλλευόμενο ένα σύνολο ευπαθειών

(CVE-2017-11882, CVE-2018-0798 και CVE-2018-0802)

στο Equation Editor του

Microsoft Word

.

Διαβάστε επίσης:






Κινέζοι


χάκερς

εκμεταλλεύτηκαν Pulse Secure VPN zero-day για να παραβιάσουν εργολάβους άμυνας των ΗΠΑ

Η CPR ανέφερε ότι

το Royal Road είναι ιδιαίτερα δημοφιλές στις Κινεζικές APT



hacking


ομάδες


. Το έγγραφο RTF περιέχει

shellcode

κι ένα κρυπτογραφημένο

payload

σχεδιασμένο για τη



δημιουργία

ενός προγραμματισμένου task και για την εκκίνηση

time-scanning anti-sandboxing τεχνικών

, καθώς και ένα

downloader

για το τελικό backdoor.

Το backdoor, με την ονομασία

“VictoryDll_x86.dll”

, έχει

διάφορες λειτουργίες

που είναι κατάλληλες για


κατασκοπεία


και την




αποστολή

δεδομένων σε C2 server

.

Ανάμεσα σε αυτές περιλαμβάνονται η ανάγνωση / εγγραφή και



διαγραφή

αρχείων, η συγκομιδή λειτουργικού συστήματος και η δυνατότητα grabbing οθόνης, δημιουργίας ή τερματισμού διαδικασιών, απόκτησης τίτλων top-level παραθύρων κι επιλογής κλεισίματος υπολογιστών.

Δείτε ακόμη:




Κινέζοι


χάκερς

παραβιάζουν email accounts μέσω του



Microsoft Exchange

Server!

Επιπλέον, το backdoor συνδέεται με έναν C2 για τη



μεταφορά

των κλεμμένων δεδομένων και αυτός ο server μπορεί επίσης να χρησιμοποιηθεί για την εκτέλεση πρόσθετων malware payloads. Οι C2s πρώτου σταδίου φιλοξενούνται στο Χονγκ Κονγκ και τη Μαλαισία, ενώ ο backdoor C2 server φιλοξενείται από πάροχο των ΗΠΑ.

Η CPR εκτιμά ότι το backdoor είναι έργο Κινέζων

χάκερς

λόγω του περιορισμένου επιχειρησιακού του προγράμματος – 1.00 π.μ. – 8.00 π.μ. UTC – η χρήση του Royal Road και λόγω δοκιμαστικών εκδόσεων του backdoor, που ανέβηκαν στο

VirusTotal το 2018

, που περιέχουν ελέγχους συνδεσιμότητας με τη διαδικτυακή διεύθυνση της

Baidu

.

Πρόταση:

Το Bazar backdoor συνδέεται με



εκστρατείες

του Trickbot banking trojan

O Lotem Finkelsteen, επικεφαλής threat intelligence στην CPR, ανέφερε τα εξής:

«Μάθαμε ότι οι επιτιθέμενοι δεν ενδιαφέρονται μόνο για ψυχρά



δεδομένα

, αλλά και για ό,

τι συμβαίνει

ανά πάσα στιγμή στον προσωπικό



υπολογιστή

ενός στόχου, με αποτέλεσμα την live

κατασκοπεία

. Παρόλο που καταφέραμε να εμποδίσουμε την



επιχείρηση

παρακολούθησης στην

κυβέρνηση

της Νοτιοανατολικής Ασίας, είναι πιθανό η ομάδα απειλής να χρησιμοποιεί το νέο της κυβερνο-όπλο και σε άλλους στόχους σε όλο τον κόσμο.»

Πηγή πληροφοριών: zdnet.com